«персональные данные: регулирование в 2024 году»

Какие изменения в законодательстве произошли

С 1 марта 2021 года вступил в силу закон № 519-ФЗ от 30.12.2020, который добавил в закон о персональных данных новую статью 10.1. В статье уточняются правила обработки и распространения информации о гражданах, включая их контактные данные.

Разрешать или отзывать согласие о распространении информации о себе будут сами граждане. Согласие и его отзыв могут быть направлены непосредственно оператору персональных данных или через специальную информационную систему, которую будет курировать Роскомнадзор.

Пункт об использовании информационной системы вступит в силу 1 июля 2021 года. С этой даты пользователь сможет самостоятельно выбирать способ предоставления согласия о распространении персональных данных. Отдельно оговаривается, что само использование системы не обязательно и не требуется для регистрации в соцсетях и мессенджерах.

Типы клиентских рассылок

Существуют 5 основных типов клиентских рассылок:

1. Триггерные — сообщения, которые отправляются пользователю после определённых действий. Например, клиент оставил в корзине товар, но не оформил заказ. Спустя несколько дней ему на почту придёт письмо с напоминанием. 
2. Сервисные — сообщения с информацией о статусе заказа или услуги. А также сообщения-ответ на какое-либо действие клиента. Например, подтверждения заказа на сайте. 
3. Авторизационные — сообщения, которые подтверждают действие пользователя. Например, одноразовые коды.
4. Транзакционные — сообщения с информацией о движениях на счетах абонента. Как правило, используются только банками и финансовыми организациями. По закону «О национальной платежной системе» такие уведомления обязательны.
5. Рекламно-информационные — сообщения, в которых компания показывает новые товары, рассказывает об услугах, скидках и делится своими новостями. 

Перед отправкой любого типа рассылок нужно получить согласие пользователей на обработку персональных данных, а для рекламных рассылок — на получение рекламы.

При этом реклама может содержаться в информационных, транзакционных и триггерных рассылках, если бизнес предлагает через них товары и услуги.

По теме: 10 фраз, которые лучше не использовать в рекламе, чтобы не нарваться на серьезные штрафы

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

• сведения используются органами защиты безопасности государства и общественного порядка;
• информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
• данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

• получение информации только для исполнения договора, заключённого с субъектом персональных данных;
• оформление разового пропуска для прохода на охраняемую территорию;
• распространение личной информации с согласия самого субъекта;
• обработка данных, включающих только имя, отчество, фамилию человека;
• обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Увеличили штрафы за нарушения законодательства о персональных данных

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

* * *

Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:

• 6 000 – 10 000 руб. для граждан;

• 20 000 – 40 000 руб. для должностных лиц;

• 30 000 – 150 000 руб. для организаций.

Если нарушение повторится, штраф составит:

• 10 000 – 20 000 руб. для граждан;

• 40 000 – 100 000 руб. для должностных лиц;

• 300 000 – 500 000 руб. для организаций.

Неиллюзорные страхи бизнеса

По мнению Ассоциации больших данных, в своем нынешнем виде законопроект имеет настолько размытые формулировки состава преступления, что по ним можно отправить в тюрьму даже сотрудника компании, отвечающего за безопасность, отмечает Forbes. Привлечь его к ответственности, говорится в письме, можно уже только лишь за то, что по роду своей деятельности он работает с утечками персональных данных.

Чтобы этого избежать, АБД предлагает дополнить формулировку законопроекта наказанием за заведомо незаконные сбор, хранение и использование персональных данных. По мнению авторов письма, за счет этого получится исключить случаи привлечения к уголовной ответственности тех, кто по тем или иным причинам случайно получил доступ к персональным данным.

Также в письме говорится о необходимости исключить уголовную ответственность для работников ИБ-структур и экспертных учреждений, занимающихся исследованием утечек персональных данных. АБД утверждает, что они выполняют свою работу с целью «мониторинга защищенности и предотвращения компьютерных атак на собственные информационные ресурсы».

Опрошенные Forbes эксперты тоже видят в новом законопроекте реальную угрозу лишения свободы для многих россиян. По их мнению, если документ вступит в силу в своем нынешнем виде, то привлечь к уголовной ответственности можно будет владельца абсолютно любого сайта или ИИ-разработчика.

Создание Реестра: план действий

Как будет формироваться Реестр классифайдов:

1. Организация Роскомнадзором мониторинга информационных ресурсов;
2. Утверждение методики определения количества пользователей ресурса в сутки;
3. Запрос необходимой для ведения реестра информации у владельца сайта. Данные должны быть предоставлены в течение 10 дней.

Порядок добавления сайтов в Реестр Роскомнадзора:

1. При обнаружении сайтов, информационных систем и программ, которые используются для взаимодействия пользователей с целью купли-продажи, выполнения работ, оказания услуг, поиска работы и подбора персонала с посещаемостью свыше 100 тысяч человек в сутки, Роскомнадзор признает их сервисом размещения объявлений и добавляет в Реестр.
2. Роскомнадзор определяет провайдера хостинга и направляет уведомление в электронном виде на русском и английском языках о необходимости сообщить информацию, позволяющую идентифицировать владельца сайта. В течение трёх рабочих дней провайдер хостинга обязан предоставить запрашиваемые данные.
3. После получения информации о владельце Роскомнадзор направляет ему уведомление о включении его ресурса в Реестр.
4. Владелец сайта, получив уведомление, обязан в течение двух месяцев предоставить документы, свидетельствующие о соблюдении следующих требований: владельцем сервиса размещения объявлений может быть гражданин РФ, не имеющий гражданства иностранного государства, или российское юридическое лицо, которое находится под контролем России, субъекта России, муниципального образования или гражданина РФ (под контролем понимается владение более 50% голосующих акций, составляющих уставной капитал данного юрлица). Данное требование означает, что иностранные компании не смогут владеть крупными сервисами объявлений в России.

Нарушение владельцем классифайда требований влечет за собой уголовную, административную или иную ответственность в соответствии с законодательством Российской Федерации.

Пособия по персональным данным: новые возможности и условия

В 2024 году наблюдается растущий интерес к вопросам персональных данных и их защищенности

В связи с этим, работники все чаще обращают внимание на вопросы безопасности и использования своих личных данных. Вместе с этим, встает вопрос о новых возможностях и условиях получения пособий по персональным данным

Одна из новых возможностей – это расширение списка пособий, доступных работникам. В течение последних лет список пособий по персональным данным значительно вырос. Теперь работники могут получать компенсацию за различные нарушения конфиденциальности и неправомерное использование их данных.

Другая новая возможность – это более прозрачные условия получения пособий. Раньше работники часто сталкивались с непонятными требованиями и условиями, когда речь шла о получении компенсации. В 2024 году все изменилось. Теперь работникам предоставляется детальная информация о процедуре получения пособий, включая необходимые документы и сроки подачи заявления.

Также, сотрудникам предоставляется возможность получать пособия не только в случае непосредственного ущерба, но и при нарушении правил обращения с их данными. Например, если работник будет обнаруживать нарушение правил использования персональных данных в своей компании или будет сталкиваться с несанкционированным доступом к своим данным, он может обратиться за компенсацией.

• Работники также получают возможность обратиться за пособием, если их данные были использованы для целей маркетинга без их согласия. Это значительно повышает защищенность и конфиденциальность персональных данных.
• Для получения пособий работники обязаны предоставить документальное подтверждение нарушений или неправомерного использования их данных. Это может быть официальное уведомление, справка от компании или другая документация.
• Сроки рассмотрения заявлений о получении пособий также сократились. Теперь компании обязаны рассмотреть заявление в течение определенного срока и предоставить ответ работнику.

Таким образом, в 2024 году работники получили новые возможности и условия для получения пособий по персональным данным. Расширился список компенсаций, значительно упростились условия получения пособий, а также усилилasь защищенность персональных данных.

Сажать на 10 лет

Основная идея нового законопроекта – это очень суровое наказание россиян за незаконные сбор и использование персональных данных. Депутаты и сенаторы предлагают сажать жителей страны за использование, передачу, сбор или хранение незаконно полученных персональных данных на срок от четырех до пяти лет. В качестве более мягкой меры наказания авторы законопроекта видят штрафы в размере от 300 до 700 тыс. руб.

Фото:

Россиянам подарят еще один способ сесть в тюрьму и получить судимость

Но это далеко не все положения законопроекта. В документе упоминается некая «корыстная заинтересованность», которая, если она будет выявлена в ходе следствия, увеличит штраф до 1 млн руб. а максимальный срок заключения до восьми лет. То же случится, если следствие выявит причинение крупного ущерба, использование служебного положения или же факт совершения преступления группой лиц.

Вывоз за пределы России носителя информации с незаконно полученными персональными данными тоже будет жестоко караться – до восьми лет тюрьмы и штраф до 2 млн руб.

Новый законопроект предполагает переезд в места не столь отдаленные и вовсе на 10 лет со штрафом до 3 млн руб. Чтобы добиться такого результата, необходимо попасться на незаконном сборе, передаче, использовании или хранении персональных данных и действовать в составе преступной группы. Еще одно обязательное условие – наличие тяжких последствий такой деятельности.

В перечень тяжких последствий авторы законопроекта внесли помехи в работе компании, распространение персональных данных для «причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне, безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям»

Законопроект подразумевает и некоторые исключения – описанные в нем положения не будут действовать, если обработка персональных данных велась «исключительно для личных и семейных нужд».

Можно ли запретить передавать персональные данные третьим лицам

Передавать персональные данные третьим лицам запрещено без согласия субъекта. Допустим, чтобы купить билеты на поезд, нужны личные данные детей. Но обработкой занимается не школа, а РЖД. Соответственно, родители должны дать согласие на передачу данных третьим лицам.

Но покупка билетов, экскурсии и прочие развлечения не такая большая беда — если родители откажутся передавать сведения о ребёнке, катастрофы не случится.

Нам принципиальнее разобрать вопрос, что будет, если отказаться передавать данные организаторам аттестации и в систему электронного журнала.

1. Электронный журнал. Сейчас школы редко организуют электронные журналы внутри своей информационной системы. В большинстве случаев журналами занимаются сторонние организации. Чтобы организовать доступ в журнал, им нужны сведения о родителях и учениках. Для этого нужно заполнить согласие на передачу личных данных. Если родители откажутся, то доступа в журнал не будет ни у родителей, ни у ученика. Для учителей школьник будет просто номером в журнале. Чтобы узнать оценки, придётся договариваться с учителями.

2. Государственные экзамены. ОГЭ и ЕГЭ организуют с применением персональных данных. Причём их передают в государственные информационные системы. Если родители откажутся от передачи сведений, ребёнка к экзамену не допустят. Соответственно, не аттестуют.

Рекомендации предпринимателям

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

• согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
• согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

Утечки персональных данных

В 2022 году в Закон о персональных данных была введена обязанность операторов уведомлять Роскомнадзор об инцидентах с персональными данными. Постановлением Правительства от 04.02.2023 № 161 на Роскомнадзор возложены полномочия проводить внеплановые проверки операторов в случае, если установлен факт распространения в Интернете баз данных, содержащих персональные данные.

В 2024 ожидается введение мер, направленных на борьбу с утечками. В Госдуму внесен законопроект № 502104-8, предусматривающий административную ответственность за инциденты с персональными данными. Штраф составляет до 15 млн руб., а при повторном нарушении штраф предлагается рассчитывать как 0,1-3% от суммы выручки нарушителя за календарный год, предшествующий нарушению. Кроме того, внесен законопроект  № 502113-8 об уголовной ответственности за подобные нарушения, а также за использование, сбор, хранение информации, полученной в результате утечки.

Как регулировалось распространение ПД до 1 марта 2021 г.?

1. Законность распространения ПД подтверждалась несколькими способами.

• Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте4.

  Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.

• Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось5.

  Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно6.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

• ФИО человека;
• полная дата и место рождения;
• адрес жительства;
• семейное, социальное и имущественное положение;
• образование, профессия, доходы.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

Зачем нужна информационная система Роскомнадзора

Если для предоставления согласия гражданин выберет систему ведомства, то это позволит ему контролировать, кому, когда и где предоставлялось согласие на распространение персональных данных в интернете, а также даст возможность отзывать его.

Использование информационной системы даст возможность обезопасить интернет-пользователей от бесконтрольного сбора и использования их персональных данных.

Первоначальный вариант правил использования системы предусматривал, что гражданину для регистрации в системе необходимо будет внести целый ряд сведений, в том числе ФИО, реквизиты основного документа, удостоверяющего личность, адрес места жительства, номер телефона и адрес электронной почты. Через несколько дней этот проект был отклонен.

Взамен был разработан новый вариант правил работы системы, который предусматривает возможность регистрации и обработки только тех персональных данных, что содержатся в Единой системе идентификации и аутентификации (ЕСИА). Сбор и обработка дополнительных данных не допускается.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор

Только после этого действия с ПД могут признаваться легитимными.

Уведомление об обработке персональных данных в 2024 году

Все организации и ИП, которые планируют начать обработку персональных данных, в 2024 году должны уведомить об этом Роскомнадзор. 

Уведомление нужно подать до начала обработки персональных данных по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Согласно ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в уведомление должны быть включены следующие данные:

• наименование организации или ФИО предпринимателя, которые планируют осуществлять обработку персональных сведений физлиц, и их адрес;
• цель обработки персональных данных;
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО работников, ответственных за обработку персональных данных, и их контактные данные (телефон, почтовый индекс, электронная почта);
• дата начала обработки персональных данных;
• срок прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
• сведения об обеспечении безопасности персональных данных.

Конкретных сроков представления этих сведений в составе уведомления законодательство не содержит. При этом уведомить Роскомнадзор требуется до начала осуществления обработки персональных данных. 

О любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) компания должна уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Уведомить Роскомнадзор о прекращении обработки персональных данных требуется в течение 10 рабочих дней с даты прекращения их обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).

Изменения по персональным данным

• Как обрабатывать персональные данные: новые рекомендации Роскомнадзора
• Сбор персональных данных: новые требования для компаний
• Как компаниям уничтожать персональные данные
• Штрафы за неправомерную обработку персональных данных с 23 декабря 2023 года

Как будет выглядеть согласие на обработку данных

Персональные данные, разрешенные для распространения, определяются законом как «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия». Таким образом, на передачу таких данных третьим лицам оператором должно быть получено согласие от физического лица.

До изменений в законодательстве согласие объединялось вместе, например, с соглашением о использовании сервиса. Отозвать это согласие было гораздо труднее или невозможно. Для исправления ситуации и были приняты поправки.

С вступлением в силу изменений в законодательстве, согласие о распространении данных должно быть оформлено отдельно. Подписывая согласие пользователь должен ясно понимать, с чем он соглашается, и какие сведения о нем могут быть переданы неограниченному кругу лиц. Перечень данных, которые физлицо разрешает распространять, должен быть доступен для выбора, а не зафиксирован.

Автоматическое согласие или согласие по умолчанию теперь недопустимы. Также, гражданин сможет отозвать ранее данное согласие на распространение данных. После отзыва оператор должен исключить данные из общего доступа, а использование данных третьими лицами станет неправомерным.

Поправки также отменяют возможность обрабатывать персональные данные гражданина без его согласия, если ранее он разместил эти данные в сети. Оператор, получивший персональные данные, имеет право на их распространение только после согласия гражданина на обработку его данных этим конкретным оператором. В случае распространения данных без согласия, законность своих действий будет доказывать каждый оператор, который распространял данные.

Договоримся о терминах

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

Как дополнить уведомление новыми основаниями

Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).

Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.

Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.